Проверка интернет-заголовков сообщения

Спам сегодня

       9 июня «Лаборатория Касперского» объявила результаты исследования статистики спама в почтовых сообщения в мае 2009 года. Полная статистика приведена на сайте http://www.securelist.com/ru/analysis/208050522/Spam_v_mae_2009_goda.

       Итак, доля спама в почтовом трафике в мае 2009 года в среднем составила 84,7%. Самый низкий показатель отмечен 2 мая — 76,8%, больше всего спама зафиксировано 17 числа — 88,9%. Вредоносные файлы содержались в 0,03% электронных сообщений, что на 0,15% меньше, чем в апреле. 

       Так же любопытен тематический состав спама. В пятерку наиболее распространенных сообщений вошли:

1. Медикаменты; товары и услуги для здоровья — 32,4% (+9,3%)

2. Реклама спамерских услуг — 18,5 % (-1,2%)

3. Реплики элитных товаров — 10,8% (+2,3%)

4. Образование — 7,9% (-3,3%)

5. Спам «для взрослых» — 6,9% (+1,6%)

 

 

- Методы борьбы

       Существуют два метода борьбы со спамом — превентивный и фильтрация. Суть первого метода заключается в следующем: не позволить спемерам узнать ваш почтовый ящик. То есть, предпринимая некоторые действия, вы сможете намного снизить количество спама, приходящий на ваш адрес. Например, не публиковать ваш e-mail на различных публичных сайтах, не регистрироваться без особой надобности на сомнительных сайтах, не отвечать на уже пришедший спам, создавать более сложные адреса и т.д. Этот метод наиболее простой и не требует особых усилий со стороны адресата, тем более он абсолютно бесплатен, так как не требует никакого дополнительного оборудования или программного обеспечения. Но он может создать множество трудностей пользователю и не достаточно надежен.

       Второй способ — фильтрация. В отличие от первого метода этот метод является активной мерой защиты от спама. Сутью является проверка самого почтового сообщения, которое приходит на ящик. Сейчас существует множество способов проверки, а современные спам-фильтры используют сразу несколько способов для большей надежности.

 

- Черные списки (DNSBL)

       DNS blacklist или DNS blocklist — это одна из наиболее старых антиспам-технологий. Блокируют почту, идущую с IP-адресов, перечисленных в списке. Построена на основе DNS. Существует 2 метода использования данной технологии.

       1) Однозначная блокировка - отклонение сообщений, которые пришли с IP адреса находящегося в DNSBL

       2) Взвешенный подход. При таком подходе сообщение, пришедшее с IP адреса находящегося в DNSBL, не блокируется, но этот факт учитывается при классификации "спамности" письма.

       При использовании первого подхода все письма с IP адресов, попавших в DNSBL однозначно отклоняются. Независимо от того попал ли IP адрес в черный список заслуженно или же по ошибке. Использование второго подхода отлично иллюстрируется opensource спам-фильтром spamassassin. Когда для классификации сообщения применяется взвешенный подход, т.е. анализ по множеству критериев. В таком случае нахождение IP адреса отправителя в черном списке не является единственным и результирующим фактором, который влияет на решение о классификации сообщения, что в свою очередь означает снижение количества ложных срабатываний фильтра в тех случаях, когда IP адрес отправителя попал в черный список по нелепой случайности.
       На данный момент (2009 год) использование технологии DNSBL по первому принципу обычно не приносит больших проблем. Но всё же крайне не рекомендуется использовать большое число блокирующих серверов (это влияет не только на возможную не доставку чистых писем, но и на производительность почтового сервера).

 

· Плюсы: Черный список на 100% отсекает почту из подозрительного источника.

· Минусы: Дают высокий уровень ложных срабатываний, поэтому применять следует с осторожностью.

 

Контроль массовости

Технология предполагает выявление в потоке почты массовых сообщений, которые абсолютно идентичны или различаются незначительно. Для построения работоспособного «массового» анализатора требуются огромные потоки почты, поэтому эту технологию предлагают крупные производители, обладающие значительными объемами почты, которую они могут подвергнуть анализу.

· Плюсы: Если технология сработала, то она гарантировано определила массовую рассылку.

· Минусы: Во-первых, «большая» рассылка может оказаться не спамом, а вполне легитимной почтой (например, Ozon.ru, Subscribe.ru тысячами расылают практически одинаковые сообщения, но это не спам). Во-вторых, спамеры умеют «пробивать» такую защиту с помощью интеллектуальных технологий. Они используют ПО, генерирующее разный контент — текст, графику и т.п. — в каждом спамерском письме. В итоге контроль массовости не срабатывает.

 

Проверка интернет-заголовков сообщения

Спамеры пишут специальные программы для генерации спамерских сообщений и их мгновенного распространения. При этом они допускают ошибки в оформлении заголовков, в результате спам далеко не всегда соответствуют требованиям почтового стандарта RFC, описывающего формат заголовков. По этим ошибкам можно вычислить спамерское сообщение.

· Плюсы: Процесс распознавания и фильтрации спама прозрачный, регламентированный стандартами и достаточно надежный.

· Минусы: Спамеры быстро учатся, и ошибок в заголовках спама становится все меньше. Использование только этой технологии позволит задержать не более трети всего спама.